【資訊安全風險管理架構】
本公司資訊安全政策、計畫及技術規範之研議、建置及評估等事項,由資訊處負責辦理。
資料及資訊系統之安全需求研議、使用管理及保護等事項,由業務權責單位負責辦理。
資訊機密維護及稽核使用管理事項,由內部稽核室會同相關單位負責辦理。
每月資訊處於主管會議向執行長報告資訊作業與執行結果。
每年稽核室會進行內部稽核,若發現缺失,會要求受查單位改善措施並追蹤改善結果。
每年會計師會進行資訊作業查核,若發現缺失,會要求改善措施並追蹤改善結果。
|
【資訊安全政策】
本公司資訊安全政策包含以下三個面向:
| (一) |
制度規範: |
| |
訂定「個人電腦軟體管理辦法」、「電腦防毒管理辦法」、「管制性設備使用管理辦法」、「即時通訊使用管理辦法」以規範人員資訊安全行為,「系統安全管理辦法」、「資訊系統緊急處理程序」、「電腦機房管理作業辦法」、「電腦資料備份管理辦法」以規範資訊安全作業準則。每年定期檢視相關制度並依需求適時調整。 |
| (二) |
系統運用: |
| |
採取多層次之網路安全縱深防禦架構,更建置各式資安防護系統與規範,以提昇整體資訊環境之安全性。 |
| (三) |
政策宣導: |
| |
每月對員工進行資訊安全與政策宣導並提供資安新聞,以提昇內部同仁資安意識。 |
【資訊安全具體管理方案】
| 建立多層次之網路安全縱深防禦,在網路、閘道、系統、應用軟體、終端、周邊進行安全管制與紀錄。
因應工作特性與資安需求建立物理區隔與安全策略,研發中心獨立安全控管、資料傳遞有管控與紀錄。
資料透過網路傳出公司或下載至管制性設備(如USB隨身碟),都被管制並留下紀錄供主管覆核,降低資料外洩風險。
利用雲端資安數據庫更新防禦策略,阻絕零時差攻擊、網路病毒、惡意軟體、網路釣魚及避免成為攻擊跳板的風險。
委託資安公司定期進行外部弱點偵測並通知管理人員改善,收集網路資安情資並做及時因應處理。
定期進行系統更新、程式與安全漏洞修補,避免病毒、惡意軟體及駭客利用。
系統、應用服務與資料都有完整保護與備份,定期排程進行災後復原演練並檢討改善缺失及還原時間。
系統權限的申請與變更都有管制與紀錄,個人密碼更新每半年更新。個人資訊權限每半年內部盤點。
集團內公司間通聯採用專線或是有經過VPN加密的公眾網路。
個人出差或居家辦公等遠端連線公司內部服務,需經雙因素認證及加密通道。
|
|
|
